Si une crise fait partie des événements potentiels de la vie d'une entreprise, en sortir de façon rapide et efficace, est une question de préparation. Dans l'IT et l'e-commerce, la crise concerne toute entreprise dont le chiffre d'affaires et la survie dépendent de sa plateforme. Son infogéreur est-il prêt à tous les cas de figure ?
Orchestrer les bonnes pratiques : formaliser les processus de crise
Qu'est-ce qu'une crise ? D'après le dictionnaire, c'est un moment très difficile dans la vie de quelqu'un, d'un groupe, dans le déroulement d'une activité... Euphémisme pour décrire une situation aux conséquences potentiellement très graves pour l'entreprise ou le client, soudaine et brutale, inattendue, pour laquelle les mécanismes et réactions habituels sont inadaptés.
Si les définitions données peuvent diverger, les bonnes pratiques en gestion de crise sont connues. Dans le domaine de l'IT, l'ANSSI à ce titre édite un guide à destination des entreprises afin de les aider à construire et optimiser leurs processus de sortie de crise. C'est un guide théorique qui constitue une base extrêmement fiable mais rien ne vaut l'expérience des événements intenses.
Les grands moments commerciaux, sportifs, culturels ou encore politiques sont déjà susceptibles de générer sur un site Internet une activité exceptionnelle. Et l'on sait que seule une bonne préparation est capable d'endiguer d'importants pics de charge. Mais que se passe-t-il en cas d'incendie, de malveillance, de défaillance ou toute autre situation d'origine humaine, technologique ou environnementale grave ?
Aucune équipe, aussi compétente soit-elle, ne pourra réagir correctement si elle ne dispose pas de processus spécifiques formalisés. Parce que face à la crise, il est facile de céder à la panique et aux débordements, une sorte d'état d'urgence orchestré doit se substituer aux pratiques régulières. Mais pour que l'organisation soit efficace, il faut avoir prévu le pire... avant.
La continuité, principe normé de l'IT : rester en mouvement
Qui a dit que le risque 0 n'existait pas ? A peu près tout le monde et c'est très juste. Mais s'il est admissible qu'un événement majeur imprévisible puisse provoquer des dégâts, l'absence de réflexion préalable autour de leur résolution ne l'est pas. Or aujourd'hui l'IT se caractérise par la continuité de service. Il y a 20 ans, plan de continuité et plan de reprise d'activité se distinguaient. C'est de moins en moins évident de nos jours, et la virtualisation en est un des principaux artisans.
La vitesse d'évolution des technologies conduit les ingénieurs à interroger en permanence leur continuité, et à ce titre, leur niveau de criticité. La technologie que j'intègre est-elle indispensable ? Combien de temps puis-je m'en passer ? Puis-je attendre le retour à la normale ? Et ceci à chaque évolution d'un produit. C'est pourquoi, d'une manière générale, la qualité de la gestion de la crise dépendra de la capacité du prestataire IT à rester en mouvement permanent. Attention toutefois à ne pas considérer la continuité du seul point de vue des technologies. La crise a cela de pervers qu'une organisation bien rodée en "temps de paix" peut éclater en morceaux quand l'urgence entre en jeu.
Les clés d'une bonne gestion : technologies, organisation, information
A commencer par les questions qui se poseront et à qui elles se poseront. Le grand secret d'une gestion adaptée repose sur la mise en place automatique d'un sas de sécurité. Il sera destiné à protéger l'équipe en charge des opérations de sortie de crise d'interventions intempestives qui ne manqueront pas de se présenter. Il est également destiné à créer les ponts de communication entre l'équipe et ... tous les autres.
Plus une organisation grandit et plus il devient difficile et crucial de maintenir un haut niveau d'information. La formalisation du plan répond à cet impératif. Tous les nouveaux entrants prennent connaissance des procédures en vigueur en cas de crise et sont responsabilisés sur les comportements à adopter. Les rôles sont ainsi clairement définis et personne ne vient parasiter l'action des opérationnels.
Chacun ayant son rôle à jouer, qu'en est-il de la DSI du client ? Quand il y en a une, c'est l'interlocuteur privilégié des opérationnels du prestataire infogéreur et quelle que soit l'évolution de l'événement. Car chacun le sait, le silence est le pire des partenaires. Aussi faut-il le dire si tout va bien, si rien ne se passe, si les conditions s'améliorent, pourquoi, et bien sûr, comment.
Il ne s'agit pas de s'attacher à un rythme rigide de communication. D'une part, le contrat initial et ses SLA prévalent quoi qu'il arrive et d'autre part, chacun dispose de ses propres processus. L'accent en revanche doit être mis sur la qualité de la communication. Aussi, il n'est pas rare de voir les directions générales communiquer entre elles directement.
Garder un esprit d'analyse sur les procédures
Étymologiquement parlant, le mot crise associe les sens de « jugement » et de « décision » mis en œuvre pour dégager une décision entre plusieurs positions ou tendances opposées sinon conflictuelles. Un plan de gestion de crise ne saurait être figé pour x années. Son actualisation, sa répétition, sa mise à l'épreuve appartiennent au plan, qui serait incomplet sans eux.
Ces mises à l'épreuve donnent à l'infogéreur les clés pour améliorer en continu ses processus, jusqu'à être capable de déclencher le protocole de crise de manière proactive. Un savoir-faire qui sera particulièrement opportun pour tous les clients susceptibles d'être impactés de près ou de loin par un événement extérieur complexe (politique, environnemental...).
C'est également l'expérience forgée par les tests et les mises en condition qui permet d'identifier l'existence ou l'absence d'une certaine résistance au stress. Certaines entreprises, dépourvues d'un département IT étoffé auront besoin d'un partenaire capable de prendre les choses en main. Enfin n'oublions pas les effets de bord, ou le risque qu'un client échappe au processus d'identification et ne bénéficie pas du déclenchement du protocole. C'est à ça que l'on constate qu'une gestion de crise, aussi formalisée soit-elle, ne peut pas se passer d'analyse humaine. Il faut savoir se garder d'une gestion trop mécanique. L'expérience montre que parmi les axes d'amélioration identifiés se trouve la capacité à repérer les risques dissimulés, ce que les automatismes ne permettent pas.